Neue Variante der IceFire-Ransomware in Linux entdeckt
Es wurde eine neue Variante der IceFire-Ransomware entdeckt, die auf Linux-Systeme abzielt. In der Vergangenheit wurde festgestellt, dass sie nur Windows-Systeme angreift. Diese Ransomware ist dafür bekannt, dass sie auf Technologieunternehmen abzielt, während sie unter Linux offenbar auf Medien- und Unterhaltungsunternehmen abzielt.
Die Ransomware-Betreiber haben es auf große Unternehmen abgesehen und setzen Techniken wie doppelte Erpressung, Umgehungsmethoden und Persistenzmechanismen ein. Bei der doppelten Erpressung verschlüsseln sie Daten und stehlen sie, und ihre Forderungen sind in der Regel doppelt so hoch wie die üblichen Zahlungen.
IceFire Linux Ransomware-Taktiken
Die Linux-Variante der IceFire-Ransomware ist eine 64-Bit-ELF-Binärdatei (ausführbar und verknüpfbar) mit einer Größe von 2,18 MB. Sie wurde mit dem Open-Source-Programm GCC (GNU Compiler Collection) für die AMD64-Systemprozessorarchitektur kompiliert. Die Nutzlast der Ransomware ist mit Intel-basierten Distributionen von Ubuntu und Debian kompatibel, und es wurde beobachtet, dass sie Hosts angreift, auf denen CentOS läuft.
Die IceFire Linux Ransomware verwendet einen RSA-Verschlüsselungsalgorithmus mit einem fest kodierten öffentlichen RSA-Schlüssel, der in die Binärdatei eingebettet ist. Nachdem die Ransomware ein Verzeichnis für die Dateiverschlüsselung ausgewählt hat, hinterlässt sie eine Lösegeldforderung, die von einer eingebetteten Ressource in der Binärdatei stammt. Diese Notiz enthält einen vordefinierten Benutzernamen und ein Kennwort für den Zugriff auf die Website für die Lösegeldzahlung, die über einen versteckten Tor-Dienst gehostet wird, um Anonymität zu gewährleisten.
Wenn ein System IceFire-Ransomware-Nutzdaten herunterlädt und ausführt, verschlüsseln sie Dateien und fügen die Erweiterung ".ifire" an ihre Dateinamen an. Nach der Verschlüsselung ist die Nutzlast so programmiert, dass sie sich selbst löscht, um nicht entdeckt zu werden.
Die Linux-Version der IceFire-Ransomware ist jedoch so konzipiert, dass sie bestimmte kritische Dateien und Pfade von der Verschlüsselung ausschließt, darunter die Dateierweiterungen .cfg, .o, .sh, .img, .txt, .xml, .jar, .pid, .ini, .pyc, .a, .so, .run, .env, .cache, .xmlb und p, sowie Pfade wie /boot, /dev, /etc, /lib, /proc, /srv, /sys, /usr, /var und /run. Auf diese Weise wird sichergestellt, dass kritische Teile des Systems nicht verschlüsselt werden, so dass sie funktionsfähig bleiben.
Schlussfolgerung
Linux gilt als sicheres Betriebssystem, das sowohl Windows als auch macOS in puncto Sicherheit übertrifft. Die zunehmende Beliebtheit von Linux und die hochwertigen Geräte, die es weltweit betreibt, haben es jedoch zu einem attraktiveren Ziel für Angreifer gemacht. Daher ist es für Administratoren und Unternehmen wichtig, geeignete Schutzmaßnahmen zur Abwehr von Malware, Rootkits und anderen bösartigen Bedrohungen zu implementieren, denen Linux-Benutzer ausgesetzt sind.
Es gibt verschiedene Sicherheitstipps und -maßnahmen, die Sie befolgen können, um Ihr Linux-Betriebssystem zu schützen. Um das Risiko potenzieller Schäden zu verringern, können Sie zum Beispiel wichtige Dateien sichern und die Speichermedien diversifizieren, um einen einzigen Ausfallpunkt zu vermeiden. Damit lässt sich ein Angriff zwar nicht verhindern, aber die Auswirkungen eines möglichen Schadens lassen sich verringern.
TuxCare bietet mit KernelCare Enterprise eine Live-Patching-Lösung, die automatisch die neuesten Sicherheits-Patches für verschiedene Linux-Distributionen einspielt. Dieser Prozess macht Systemneustarts überflüssig, so dass Unternehmen mit den neuesten Patches auf dem neuesten Stand bleiben können, ohne Ausfallzeiten einplanen zu müssen.
Die Quellen für diesen Artikel sind u.a. ein Bericht von LinuxSecurity.